Organismes de santé : l'urgence de renforcer l'authentification forte et la conformité au RGPD

Le secteur de la santé reste l'un des plus ciblés par les cybercriminels. En effet, depuis le début de la pandémie, le nombre de cyberattaques sur les organisations a doublé. Ces compromissions sont à la fois coûteuses, 9,23 millions de dollars en moyenne, et perturbatrices.

En septembre dernier, les hôpitaux de Paris (AP-HP) en ont payé les frais, après qu’un individu a piraté leur système en exploitant une faille « zero-day ». Les informations personnelles de près de 1,4 million de personnes ont été dévoilées. Pour protéger ces données critiques, l’utilisation de l’authentification forte devient donc essentielle.

La conformité au RGPD

Étant donné que les organismes de santé - tels que les hôpitaux privés et publics, les fabricants de dispositifs médicaux et les prestataires d'assurance maladie - gèrent des données personnelles, leur conformité aux RGPD (Règlement général sur la protection des données) est primordiale. Outre la protection des informations personnelles, ce règlement définit en effet trois types de « données de santé » qui nécessitent une protection spécifique : celles concernant l’état de santé, les données génétiques et biométriques. Le règlement interdit tout type de traitement pour celles-ci, sauf consentement explicite ou conditions très particulières. Cela est ainsi autorisé pour l'évaluation de la capacité de travail en vue d'un emploi, pour la gestion des systèmes et services de santé ou d'aide sociale, ou encore pour des raisons d'intérêt public.

Pour se conformer au RGPD, et donc protéger les données personnelles sensibles des patients et du personnel, les organisations doivent par conséquent prendre certaines mesures : utiliser des appareils dotés d'une sécurité intégrée adéquate ou déployer des outils pour sécuriser les informations qui y sont stockées. Cette stratégie leur permet de se protéger contre les vecteurs d’attaques récurrents, tels que le phishing et les ransomwares, mais aussi d’éviter une amende pour non-respect du règlement européen.

Choisir la stratégie optimale d’authentification forte

Bien que le déploiement d’outils de sécurité continue de croître dans le secteur de la santé, ils ne sont pas tous égaux en termes de protection et d’expérience utilisateur. En effet, les organisations doivent adopter une approche qui vise non seulement à sécuriser les données relatives aux soins de santé, mais aussi à répondre et à empêcher toute attaque lancée par des cybercriminels. De plus, certaines mesures telles que l’authentification via les téléphones portables, souvent utilisée dans le milieu médical, ne garantissent pas une sécurité optimale contre les compromissions. Ainsi, des recherches menées par Google, l’université de New York et l’université de California San Diego, sur la base de 350 000 tentatives de compromission, ont révélé que l’envoi d’OTP (one-time password) par SMS ne bloquait que 76 % des attaques ciblées et qu’une application push n’en bloquait que 90 %. Les organismes de santé doivent donc s'assurer que des outils de sécurité de confiance soient en place ; afin de contenir les tentatives d’attaque envers des comptes de messagerie, qui pourraient mener à des violations de données.

Si le déploiement de solutions à authentification multi-facteurs (MFA) est un bon début, les clés de sécurité physique offrent une protection supérieure, du fait de leur point d’accès unique qui ne peut être dupliqué par un cybercriminel. De plus, elles sont requises à chaque connexion, ce qui permet d’atteindre un niveau de protection plus élevé qu'un simple combo nom d'utilisateur/mot de passe. En d’autres termes, l’authentification ne repose plus alors sur les identifiants de l’utilisateur, qui pourraient être volés lors d’une cyberattaque. La sécurité s’en retrouve donc renforcée.

L'importance de l'expérience utilisateur

Si le déploiement de solutions fortes est primordial, les organismes de santé doivent aussi prendre en compte l’expérience de connexion de leurs employés. Ainsi, selon nos recherches, 43 % des organisations citent l’expérience utilisateur comme le principal obstacle à l’application de la MFA, car des processus d’authentification longs et complexes peuvent décourager les équipes. Or, les prestataires de santé se connectent parfois plusieurs fois par jour du fait de leurs activités ; telles que la prescription électronique, la passation de commandes ou l'ajout d'une signature horodatée. Il est donc nécessaire pour les organismes de santé de veiller aux préférences de connexion de leurs employés pour s’assurer de l’adoption des stratégies d’authentification forte, et pour garantir in fine une meilleure protection contre les violations de données. En effet, une solution qui réduit le temps, ou les étapes, d’identification augmente la productivité et réduit la cyber-fatigue des employés. Cependant, les outils d’authentification présentent tous un avantage différent en termes de sécurité et d’expérience utilisateur. Il est donc important pour les organisations d’évaluer les deux aspects, pour ne pas déployer une stratégie qui ne répond pas aux exigences de conformité et de sécurité, ou qui engendre un impact négatif sur l'expérience utilisateur.

Beaucoup d’organismes de santé doivent investir de façon significative pour se conformer aux exigences du RGPD, et plus généralement pour améliorer leur cybersécurité. En effet, le secteur est confronté à des défis uniques, mais il existe des outils de sécurité adaptés à leurs contraintes : le déploiement d’une politique d’authentification MFA, facile à adopter et pratique au quotidien pour les employés, permet d’assurer non seulement sa bonne application, mais aussi une sécurité optimale. C’est ainsi que les organismes de santé pourront réduire les vulnérabilités de manière efficace, et donc se protéger contre le nombre croissant de cyberattaques qui les touchent.